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Sybase 15 ASE(PC) 


認証 コン プラ イア ンス スキ ャ ン に 関心 を お 寄せ いた だ き あ り が と う ご ざ いま す 。 認証 を 使用 する と 、 ホ スト を さら に 詳 
し く 評 価 し 、 最も 正確 な 結果 を 取得 する こと が で きま す 。 本 書 で は 、 Sybase Adaptive Server Enterprise (ASE) イン ス 
タン ス の 認証 に 関す る ヒン ト と ベス ト プ ラ クティ ス に つい て 説明 し ます 。 


考慮 すべ き 事項 


認証 を 使用 する 理由 

認証 を 使用 する と 、 提供 され た 資格 情報 で 対象 の 各 シ ステ ム に リモ ー ト か ら ロ グイ ン す る こと が で きま す 。 ログ イン 
する こと で 、 テ スト 中 に 更に 多く の こと が 行え る よう に な り ま す 。 その た め 、 各 シス テム の セキ ュ リ ティ 状態 に つい て 、 
より 適切 に 可視 化す る こと が で きま す 。 認証 は 、 コ ンプ ライ アン スス キャ ン で は 必須 で す 。 


資格 情報 の 安全 性 に つい て 


資格 情報 は 、 読 み 取 り 専 用 と し て シス テム へ の アク セス に 使用 され ます 。 デバ イス 上 で 資格 情報 を 修正 し た り 、 何 
か を 書き 込ん だ りす る と いう こと は 、 決し て あり ませ ん 。 資格 情報 は 安全 性 を 確保 し た 状態 で 扱わ れ 、 ス キャ ン の 実 
行 中 に の み 使 用 され ます 。 


操作 手順 


まず 、 対 象 の ホス ト 上 で Sybase 認証 アカ ウン ト と 権限 を 設定 し ます (下記 で 説明 )。 次 に 、Qualys Policy 
Compliance を 使用 し て 次 の 手順 を 実行 し ます 。 1) Sybase 認証 レコ ー ド を 追加 し ます 。 2) コン プ "ライ アン スス キャ 
ン を 開始 し ます 。 3) mo 中 証 レ ポー ト を 実行 し て 、 スキ ャ ン 済 み の 各 ホス ト の 認 証 ス テー タス ( 「Passed」 また は 「Failed」 ) 
を 表示 し ます 。 


Sybase の 設定 


Sybase デー タベース で Qualys コン プラ イア ンス スキ ャ ン を 正常 に 機能 させ る に は 、 ス キャ ン を 実行 する 前 に 、 次 の 
アカ ウン ト と 権限 が 存在 し て いる 必要 が あり ます 。 注記 - これ ら の スク リプ ト で は 、sa また は 管理 者 アカ ウン ト な どの 
スー パー ユー ザ ア カ ウ ント が 必要 に な り ま す (Sybase 13.7 以降 、 ロ グイ ン お よび ユー ザ の 作成 方 法 が 変わ り ま し た 。 
Sybase 15.7 以降 の イン スト ー ル 環境 の 場合 は 、 手 順 1b に 進ん で くだ さい )。 


1a) スキ ャ ン ア カウ ント の ログ イン の 作成 (Sybase バー ジョ ン 15.5 以前 ) 

この スク リプ ト に より 、 スキ ャ ン に 使用 され る ユー ザ ア カ ウ ント の デー タベース ログ イン が 作成 され ます 。 スク リプ ト を 
実行 する 前 に 、 対象 デ ー タ ベー ス の パス ワー ド と 名 前 を 指定 し て くだ さい 。 ヒン ト - QUALYS_SCAN と いう 名 前 の 
アカ ウン ト を 作成 する こと を お 勧め し ます 。 


USE master 

GO 

sp addlogin “QUALYS SCANP", 汗 推測 され に くい 安全 な パス ワー ド P 
GO 
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1b) スキ ャ ン ア カウ ント の ログ イン の 作成 (Sybase バー ジョ ン 15.7 以降 ) 


USE master 

GO 

create login QUALYS SCAN with password [推測 され に くい 安全 な パス ワー ド ]” 
GO 


2) ユー ザ ア カ ウ ント の 作成 


この スク リプ ト に より 、QUALYS SCAN と いう 名 前 の ユー ザ ア カ ウ ント が 、 対象 デー タベース で ある master、 


sybsystemprocs、 sybsecurity (監査 が イン スト ー ル され て いる 場合 ) に それ ぞ れ 作成 され ます 。 


USE master 

GO 

sp _adduser QUALYS SCAN 
GO 


USE sybsystemprocs 
GO 


sp_adduser QUALYS SCAN 
GO 


USE sybsecurity 

GO 

sp _adduser QUALYS SCAN 
GO 


3) スキ ャ ン ア カウ ント へ の 権限 の 付与 


この スク リプ ト に より 、 ス キャ ン に 使用 され る ユー ザ ア カ ウ ント に 権限 が 付与 され ます 。 認証 が 正常 に 
プラ イア ンス スキ ャ ン が 実行 され る た め に は 、 次 の 権限 が 必要 で す 。 sybsecurity デー タベース は 、 
トー ルプ ロ セ ス の 完了 後に の み 存在 し ます 。 


USE master 

GO 

grant select on master.dbo.syslogins to QUALYS SCAN 
grant select on master.dbo.sysdatabases to QUALYS SCAN 
grant select on master.dbo.sysconfigures to QUALYS SCAN 
grant select on master.dbo.sysprotects to QUALYS SCAN 
grant select on master.dbo.sysattributes to QUALYS _ SCAN 
grant select on master.dbo.syssrvroles to QUALYS _ SCAN 
grant select on master.dbo.sysloginroles to QUALYS SCAN 
grant select on master.dbo.sysusers to QUALYS SCAN 
grant select on master.dbo.sysobjects to QUALYS SCAN 
GO 


USE sybsystemprocs 

GO 

grant select on sybsystemprocs.dbo.sysobjects to QUALYS SCAN 
GO 


USE sybsecurity 

GO 

grant select on sybsecurity..sysauditoptions to QUALYS SCAN 
GO 
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だ 行 さ れ 、 コ ン 
臨 査 の イン ス 


4) sso_role へ の スキ ャ ン ア カウ ント アク セス の 付与 (オプ ショ ン ) 


コン トロ ー ル に よっ て は 、sso_role の メン バー で ある 必要 が あり ます 。 こう し た コン トロ ー ル で は 、 ス ト ア ド プ ロ シ ー 
ジャ を 介し て 情報 に アク セス する だ け で 、 シス テム を 修正 し た り 、 シス テム に 書き 込み を 行う こと は あり ませ ん 。 これ 
に 関係 する コン トロ ー ル は 、 コ ント ロー ル ID 8706 と 8728 で す 。 これ は 最小 権限 で は あり ませ ん が 、 必要 な 情報 を 
入手 する た め に 、 ス キャ ン ア カウ ント で sso role が 必要 で ある こと を 理解 し て くだ さい 。 


USE master 
GO 


grant role sso role to QUALYS SCAN 


GO 


5) スキ ャ ン ア カウ ント の 権限 の 確認 


スキ ャ ン に 使用 


意 し て いま す 。 この スク リプ ト は 、QG Sybase_Auth verx.x.txt ファ イル 内 に あり ます 。 この スク リプ ト は 、 適切 な 権限 


が すべ て 正しく 


され る ユー ザ ア カ ウ ント で 不足 し て いる 権限 の 特定 に 利用 で きる スク リプ ト を zip アー カイ ブ 内 に 用 


設定 され て いる か どう か を 確認 する た め の も の で 、 デ ー タ ベー ス の スー パー ユー ザ が 実行 し な けれ 


ば な り ま せん 。 この スク リプ ト に より 、 すべ て の 必須 項目 の 状態 を 表示 する 出力 が 生成 され ます 。 


出力 例 


タ 岳 | 。 | 


用 ロク オン | で いる ミー 


PASSED - SELECT privilege exists 
PASSED - SELECT privilege exists 
PASSED - SELECT privilege cxists 
PASSED - SELECT privilege exists 
PASSED - SELECT privilege exists 
PASSED - SELECT privilege exists 
PASSED - SELECT privilege exists 
PASSED - SELECT privilege exists 
PASSED - SELECT privilege cxists 
PASSED - SELECT privilege exists 
ie000 

PASSED - SELECT privilege exists 


異な る 結果 が 出 


た 場合 は 、Sybase DBA に 連絡 し て 、 権限 が 正しく 設定 され て いる こと を 確認 し て くだ さい 。 


Qualys 認証 スキ ャ ン 3 


Sybase 認証 レコ ー ド 


スキ ャ ン 対 象 の 各 Sybase イン スタ ンス に 対し て 個別 の 認証 レコ ー ド を 作成 する 必要 が あり ます 。 Policy Compliance 
(PC) ア プリ ケー ショ ン か ら Sybase レコ ー ド を 作成 し て くだ さい 。 


操作 手順 


「Scans」 つ 「Authentication」 つ 「New」 つ 「Databases Sybase」 に 


移動 し ます 。 Search 


ーー METI の Schedules Appliances 


認 放 に 使 H す る ユ ザ 名 と パス ワー ド を 設定 し ます 。 次 に 認 - ーー 
証 を 行う デー タベース の 名 前 と 、 デ ー タ ベー ス の ポー ト 番 号 を ME ec ee, 
入力 し ます 。 入力 し た ポー ト 番 号 に 基 づ v Ye Sybase ASE の Agent Test Applications.… 2 10.115.76.151-10.115.76.152 
イン スタ ンス が 検索 され ます 。 Unix ホス ト を スキ ャ ン す る 場合 Global Default Databases... !| IBMDB2 5.76.152| 
ー タ ベー スズ の イン スト ー ル ディ レク トリ や 入力 する 必要 が あり Global Default sis RS 
ます 。 System Record Templates.. py MariaDB 

Global Default 5 MongoDB 

ム Authentication Vaults 

スキ ャ ン す る コン プラ イア ンス ホス ト を 「TPs」 項 に 入力 し 、「Save」 目 QlobalDefaul aa。 ot 
を クリ ッ ク し て レコー ド を 保存 する だ け で 、 ス キャ ン の 準備 は 完 自 AgentTest a | 
で すく Global Default Network Unix Oracle Lislener 

Global Default Network Oracle rn 
注記 - デー タベース 名 と ポー ト と の 組み 合せ は 、 レ コー ド ご と PostgreSQL 
に 一 意 で ある 必要 が あり ます 。 複数 の デー タベース イン スタ ン Global Default Network Oracle 
ス を スキ ャ ン す る に は 5 さ ら に Sybase レコ ュー ド を 追加 し ます 。 Global Default Network Oracle Test Oracle Basic 


Sybase レコ ー ド の 例 


Sybase Authentication Record LaunchHelp 図 x 


ce Login Credentials 


Login Credentials Pa $BasicAuthentication ® Authentication Vault 


Use the basic login credential or choose to use authentication vault for authenticated scanning. 


IPs 


Username * qualys_scan 
Comments 


Password* ゃ eeeeeee 
Confirm Password* | eesesese 


Database Information 


Tell us the name and portthe database is running on and we'll find the database instance to authenticate to. For Unix 
hosts, the installation directory is also required. 


Database Name: * master 
Installation Directory: | /opt/sybase 


Required for Unix based hosts. Example: /opt'sybase 


5000 


最終 更新 日 : 2020 年 6 月 19 日 
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